ข้อตกลงการประมวลผลข้อมูล
DATA PROCESSING ADDENDUM (DPA)

(please see english version below)

เวอร์ชันภาษาไทย

เอกสารเวอร์ชัน 1.0 - วันที่มีผลบังคับใช้: 1 กุมภาพันธ์ พ.ศ. 2569

เอกสารฉบับนี้เป็นส่วนหนึ่งของข้อกำหนดการให้บริการ (Terms of Service) ระหว่าง:

บริษัท ดีพ เชน เทคโนโลยี จำกัด (“ผู้ประมวลผลข้อมูล” หรือ “Processor”)
และ
ลูกค้า (“ผู้ควบคุมข้อมูล” หรือ “Controller”)

เอกสารฉบับนี้ใช้บังคับในกรณีที่ผู้ประมวลผลข้อมูลประมวลผลข้อมูลส่วนบุคคลแทนผู้ควบคุมข้อมูลภายใต้บริการของบริษัท

1. วัตถุประสงค์และขอบเขต

ข้อตกลงฉบับนี้กำหนดหน้าที่และความรับผิดชอบของแต่ละฝ่ายเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายใต้บริการของบริษัท และให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

2. บทบาทของคู่สัญญา

ผู้ควบคุมข้อมูลเป็นผู้กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลจะประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลเท่านั้น และเพื่อวัตถุประสงค์ในการให้บริการตามที่ระบุในข้อกำหนดการให้บริการ

3. ลักษณะและวัตถุประสงค์ของการประมวลผล

การประมวลผลข้อมูลอาจรวมถึง:

  • การเก็บรวบรวม
  • การจัดเก็บ
  • การจัดระเบียบ
  • การวิเคราะห์
  • การทำระบบอัตโนมัติ
  • การส่งต่อข้อมูล
  • การสำรองข้อมูล
  • การลบหรือทำลายข้อมูล

การประมวลผลดังกล่าวดำเนินการเพื่อให้บริการตามที่ตกลงไว้เท่านั้น

4. ประเภทของข้อมูล

ข้อมูลส่วนบุคคลที่อาจมีการประมวลผล รวมถึงแต่ไม่จำกัดเพียง:

  • ชื่อ
  • อีเมล
  • หมายเลขโทรศัพท์
  • ที่อยู่
  • IP Address
  • ข้อมูลพฤติกรรมการใช้งาน
  • ข้อมูลการเข้าชมเว็บไซต์
  • ข้อมูลการตลาด
  • ข้อมูลเชิงวิเคราะห์

ผู้ประมวลผลข้อมูลไม่ได้มีเจตนาในการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหว เว้นแต่ได้รับคำสั่งโดยชัดแจ้งจากผู้ควบคุมข้อมูล

ผู้ควบคุมข้อมูลเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการเก็บรวบรวมข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย รวมถึงข้อมูลที่เกี่ยวข้องกับผู้เยาว์

5. หน้าที่ของผู้ประมวลผลข้อมูล

ผู้ประมวลผลข้อมูลตกลงที่จะ:

  • ประมวลผลข้อมูลเฉพาะเพื่อวัตถุประสงค์ในการให้บริการ
  • ใช้มาตรการรักษาความปลอดภัยทางเทคนิคและการจัดการที่เหมาะสม
  • กำหนดให้พนักงานหรือผู้เกี่ยวข้องรักษาความลับของข้อมูล
  • ไม่ขายข้อมูลส่วนบุคคล
  • แจ้งเหตุละเมิดข้อมูลตามข้อ 10

6. มาตรการด้านความปลอดภัย

ผู้ประมวลผลข้อมูลใช้มาตรการด้านความปลอดภัยตามสมควร เช่น:

  • ระบบควบคุมการเข้าถึงข้อมูล
  • การเข้ารหัสข้อมูลตามความเหมาะสม
  • โครงสร้างพื้นฐานระบบคลาวด์ที่ปลอดภัย
  • ระบบตรวจสอบและบันทึกเหตุการณ์
  • ระบบสำรองข้อมูล

มาตรการดังกล่าวพิจารณาตามลักษณะของบริการและระดับความเสี่ยง

7. ผู้ประมวลผลข้อมูลช่วง (Sub-Processors)

ผู้ควบคุมข้อมูลอนุญาตให้ผู้ประมวลผลข้อมูลแต่งตั้งผู้ประมวลผลข้อมูลช่วง เช่น:

  • ผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์
  • ผู้ให้บริการระบบชำระเงิน
  • ผู้ให้บริการระบบวิเคราะห์ข้อมูล
  • ผู้ให้บริการ CRM

ผู้ประมวลผลข้อมูลจะกำหนดให้ผู้ประมวลผลข้อมูลช่วงมีหน้าที่คุ้มครองข้อมูลในระดับที่เหมาะสม

8. การโอนข้อมูลระหว่างประเทศ

ข้อมูลส่วนบุคคลอาจถูกโอนไปหรือจัดเก็บในต่างประเทศเพื่อวัตถุประสงค์ในการสำรองข้อมูลหรือประมวลผลข้อมูล

ผู้ประมวลผลข้อมูลจะดำเนินการให้การโอนข้อมูลดังกล่าวเป็นไปตามกฎหมายที่เกี่ยวข้อง และใช้มาตรการคุ้มครองข้อมูลที่เหมาะสม

9. การช่วยเหลือในการใช้สิทธิของเจ้าของข้อมูล

ผู้ประมวลผลข้อมูลจะให้ความช่วยเหลือโดยสมเหตุสมผลแก่ผู้ควบคุมข้อมูล ในการตอบคำขอใช้สิทธิของเจ้าของข้อมูล เท่าที่เป็นไปได้ในทางเทคนิค

อย่างไรก็ตาม ผู้ควบคุมข้อมูลยังคงเป็นผู้รับผิดชอบหลักในการดำเนินการตามคำขอของเจ้าของข้อมูล

10. การแจ้งเหตุละเมิดข้อมูล (Data Breach Notification)

ในกรณีที่ผู้ประมวลผลข้อมูลทราบถึงเหตุละเมิดข้อมูลส่วนบุคคลที่กระทบข้อมูลของผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูลจะแจ้งให้ผู้ควบคุมข้อมูลทราบโดยไม่ชักช้าเกินสมควร

การแจ้งดังกล่าวจะรวมถึงข้อมูลที่มีอยู่เกี่ยวกับลักษณะของเหตุการณ์และมาตรการแก้ไขที่ดำเนินการ

11. ระยะเวลาการเก็บรักษาและการลบข้อมูล

เมื่อสิ้นสุดการให้บริการ ผู้ประมวลผลข้อมูลจะลบข้อมูลส่วนบุคคลตามนโยบายการเก็บรักษาข้อมูลของบริษัท เว้นแต่กฎหมายกำหนดให้ต้องเก็บรักษาไว้

12. สิทธิในการตรวจสอบ (Audit)

ผู้ควบคุมข้อมูลอาจร้องขอข้อมูลเกี่ยวกับมาตรการคุ้มครองข้อมูลของผู้ประมวลผลข้อมูลตามสมควร

การตรวจสอบเชิงลึก (formal audit) จะต้องอยู่ภายใต้ขอบเขตที่สมเหตุสมผล ความถี่ที่เหมาะสม และอาจอยู่ภายใต้เงื่อนไขการรักษาความลับและการแบ่งปันค่าใช้จ่าย

13. ความรับผิด

ความรับผิดภายใต้ข้อตกลงฉบับนี้ให้เป็นไปตามข้อจำกัดความรับผิดที่กำหนดไว้ในข้อกำหนดการให้บริการ